Leitfaden zum Erstellen von Höhenregeln mit Endpoint Privilege Management

Hinweis

Diese Funktion ist als Intune-Add-On verfügbar. Weitere Informationen finden Sie unter Verwenden von Intune Suite-Add-On-Funktionen.

Übersicht

Mit Microsoft Intune Endpoint Privilege Management (EPM) können die Benutzer Ihrer Organisation als Standardbenutzer (ohne Administratorrechte) ausgeführt und Aufgaben ausführen, die erhöhte Berechtigungen erfordern. Aufgaben, die häufig Administratorrechte erfordern, sind Anwendungsinstallationen (z. B. Microsoft 365-Anwendungen), das Aktualisieren von Gerätetreibern und das Ausführen bestimmter Windows-Diagnosen.

Endpoint Privilege Management unterstützt Ihre Zero-Trust-Journey, indem Sie Ihrer Organisation dabei helfen, eine breite Benutzerbasis mit geringsten Rechten zu erreichen, während Benutzer weiterhin Aufgaben ausführen können, die von Ihrer Organisation erlaubt sind, um produktiv zu bleiben.

Definieren von Regeln für die Verwendung mit Endpoint Privilege Management

Endpoint Privilege Management-Regeln bestehen aus zwei grundlegenden Elementen: einer Erkennung und einer Erhöhungsaktion.

Erkennungen werden als der Satz von Attributen klassifiziert, die zum Identifizieren einer Anwendung oder Binärdatei verwendet werden. Erkennungen bestehen aus Attributen wie Dateiname, Dateiversion oder Attributen einer Signatur.

Rechteerweiterungen sind die sich ergebenden Rechte, die auftreten, nachdem eine Anwendung oder Binärdatei erkannt wurde.

Beim Definieren von Erkennungen ist es wichtig, dass sie so beschreibend wie möglich sind. Um beschreibend zu sein, verwenden Sie starke Attribute oder mehrere Attribute, um die Stärke der Erkennung zu erhöhen. Das Ziel beim Definieren von Erkennungen sollte darin sein, die Möglichkeit zu vermeiden, dass mehrere Dateien in dieselbe Regel fallen, es sei denn, dies ist explizit die Absicht.

Dateihashregeln

Dateihashregeln sind die stärksten Regeln, die mit Endpoint Privilege Management erstellt werden können. Diese Regeln werden dringend empfohlen , um sicherzustellen, dass die Datei, die Sie erhöhen möchten, die Datei mit erhöhten Rechten ist.

Dateihash kann mithilfe der PowerShell-Methode Get-Filehash aus der direkten Binärdatei oder direkt aus den Berichten für Endpoint Privilege Management gesammelt werden.

Zertifikatregeln

Zertifikatregeln sind ein starker Attributtyp und sollten mit anderen Attributen gekoppelt werden. Durch das Koppeln eines Zertifikats mit Attributen wie Produktname, interner Name und Beschreibung wird die Sicherheit der Regel erheblich verbessert. Diese Attribute werden durch eine Dateisignatur geschützt und geben häufig Besonderheiten zur signierten Datei an.

Achtung

Die Verwendung nur eines Zertifikats und eines Dateinamens bietet sehr eingeschränkten Schutz für den Missbrauch einer Regel. Dateinamen können von jedem Standardbenutzer geändert werden, sofern er Zugriff auf das Verzeichnis hat, in dem sich die Datei befindet. Dies ist möglicherweise kein Problem für Dateien, die sich in einem schreibgeschützten Verzeichnis befinden.

Regeln, die dateinamen enthalten

Dateiname ist ein Attribut, das verwendet werden kann, um eine Anwendung zu erkennen, die mit erhöhten Rechten versehen werden muss. Dateinamen werden jedoch nicht durch die Signatur der Datei geschützt.

Dies bedeutet, dass Dateinamen sehr anfällig für Änderungen sind. Bei Dateien, die von einem Zertifikat signiert sind, dem Sie vertrauen, könnte derEn Name so geändert werden, dass er erkannt und anschließend mit erhöhten Rechten versehen wird, was möglicherweise nicht ihr beabsichtigtes Verhalten ist.

Wichtig

Stellen Sie immer sicher, dass Regeln, einschließlich eines Dateinamens, andere Attribute enthalten, die eine starke Assertion für die Identität der Datei bereitstellen. Attribute wie Dateihash oder Eigenschaften, die in der Dateisignatur enthalten sind, sind gute Indikatoren dafür, dass die gewünschte Datei wahrscheinlich die Datei ist, die mit erhöhten Rechten versehen wird.

Regeln, die auf von PowerShell gesammelten Attributen basieren

Wenn Sie genauere Dateierkennungsregeln erstellen möchten, können Sie das PowerShell-Cmdlet Get-FileAttributes verwenden. Get-FileAttributes ist über das PowerShell-Modul EpmTools verfügbar und kann Dateiattribute und das Zertifikatkettenmaterial für eine Datei abrufen, und Sie können die Ausgabe verwenden, um Rechteregeleigenschaften für eine bestimmte Anwendung aufzufüllen.

Beispielmodulimportschritte und -ausgabe aus Get-FileAttributes für msinfo32.exe unter Windows 11 Version 10.0.22621.2506 ausgeführt werden:

PS C:\Windows\system32> Import-Module 'C:\Program Files\Microsoft EPM Agent\EpmTools\EpmCmdlets.dll'
PS C:\Windows\system32> Get-FileAttributes -FilePath C:\Windows\System32\msinfo32.exe -CertOutputPath C:\CertsForMsInfo\


FileName      : msinfo32.exe
FilePath      : C:\Windows\System32
FileHash      : 18C8442887C36F7DB61E77013AAA5A1A6CDAF73D4648B2210F2D51D8B405191D
HashAlgorithm : Sha256
ProductName   : Microsoft® Windows® Operating System
InternalName  : msinfo.dll
Version       : 10.0.22621.2506
Description   : System Information
CompanyName   : Microsoft Corporation

Hinweis

Die Zertifikatkette für msinfo32.exe wird in das Verzeichnis C:\CertsForMsInfo ausgegeben, das im obigen Befehl aufgeführt ist.

Weitere Informationen finden Sie unter EpmTools PowerShell-Modul.

Steuern des Verhaltens untergeordneter Prozesse

Das Verhalten untergeordneter Prozesse ermöglicht es Ihnen, den Kontext zu steuern, wenn ein untergeordneter Prozess durch einen Prozess mit erhöhten Rechten mit EPM erstellt wird. Dieses Verhalten ermöglicht es Ihnen, Prozesse weiter einzuschränken, die normalerweise automatisch in den Kontext des übergeordneten Prozesses delegiert würden.

Windows delegiert den Kontext eines übergeordneten Elements automatisch an ein untergeordnetes Element. Achten Sie daher besonders darauf, das Verhalten für Ihre zulässigen Anwendungen zu steuern. Stellen Sie sicher, dass Sie beim Erstellen von Erhöhungsregeln bewerten, was erforderlich ist, und implementieren Sie das Prinzip der geringsten Rechte.

Hinweis

Das Ändern des Verhaltens des untergeordneten Prozesses kann zu Kompatibilitätsproblemen mit bestimmten Anwendungen führen, die das Standardverhalten von Windows erwarten. Stellen Sie sicher, dass Sie Anwendungen gründlich testen, wenn Sie das Verhalten des untergeordneten Prozesses bearbeiten.

Bereitstellen von Regeln, die mit Endpoint Privilege Management erstellt wurden

Endpoint Privilege Management-Regeln werden wie jede andere Richtlinie in Microsoft Intune bereitgestellt. Dies bedeutet, dass Regeln für Benutzer oder Geräte bereitgestellt werden können, und Regeln werden auf der Clientseite zusammengeführt und zur Laufzeit ausgewählt. Alle Konflikte werden basierend auf dem Verhalten des Richtlinienkonflikts gelöst.

Auf einem Gerät bereitgestellte Regeln werden auf jeden Benutzer angewendet, der dieses Gerät verwendet. Regeln, die für einen Benutzer bereitgestellt werden, gelten nur für diesen Benutzer auf jedem Gerät, das er verwendet. Wenn eine Erhöhungsaktion auftritt, haben regeln, die für den Benutzer bereitgestellt werden, Vorrang vor Regeln, die auf einem Gerät bereitgestellt werden. Dieses Verhalten ermöglicht es Ihnen, eine Reihe von Regeln für Geräte bereitzustellen, die für alle Benutzer auf diesem Gerät gelten können, und einen berechtigungsreicheren Satz von Regeln für einen Supportadministrator, um es ihnen zu ermöglichen, eine größere Gruppe von Anwendungen zu erhöhen, wenn sie sich vorübergehend beim Gerät anmelden.

Das Standardverhalten für rechte Rechte wird nur verwendet, wenn keine Regeleinstimmung gefunden werden kann. Dies erfordert auch die Verwendung des Rechtsklickmenüs Ausführen mit erhöhten Zugriffsrechten , das als Benutzer interpretiert wird, der explizit die Erhöhung einer Anwendung anfragt.

Endpunktberechtigungsverwaltung und Benutzerkontensteuerung

Endpoint Privilege Management und die integrierte Windows-Benutzerkontensteuerung (UAC) sind separate Produkte mit separaten Funktionen.

Wenn Sie Benutzer so verschieben, dass sie als Standardbenutzer ausgeführt werden, und die Endpoint Privilege Management-Verwaltung verwenden, können Sie das Standard-UAC-Verhalten für Standardbenutzer ändern. Diese Änderung kann verwirrungsmindern, wenn eine Anwendung Rechteerweiterungen erfordert, und eine bessere Endbenutzererfahrung schaffen. Untersuchen Sie das Verhalten der Eingabeaufforderung für Rechteerweiterungen für Standardbenutzer , um weitere Informationen zu erfahren.

Hinweis

Endpoint Privilege Management beeinträchtigt nicht die Ausführung von Benutzerkontensteuerungsaktionen (oder UAC), die von einem Administrator auf dem Gerät ausgeführt werden. Es ist möglich, Regeln zu erstellen, die für Administratoren auf dem Gerät gelten. Daher sollten besondere Überlegungen zu Regeln, die auf alle Benutzer auf einem Gerät angewendet werden, und den Auswirkungen auf Benutzer mit Administratorrechten berücksichtigt werden.

Nächste Schritte